Här är du: Hem / hack / Old School hack av MKSE.com

Old School hack av MKSE.com

2010-02-16 Av 9 Comments

Jag hade egentligen tänkt förbigå det defacement som gjordes av CMS-sajten MKSE.com (som drivs av WordPress) nu ikväll med den tystnad den förtjänar. Men så råkade jag titta på koden och då kunde jag inte låta bli. Källkoden visade upp ett ”CMS” eller snarare (icke-CMS) som definitivt inte står högt i kurs på MKSE. Det gick inte att stoppa mig själv från att ta ett par skärmdumpar och visa upp dem för eftervärlden.

Och så ”Granska komponent” på det då. Klicka för större bild:

Jag hoppas verkligen på en ordentlig artikel från Martin själv om vad som hände där. Just nu går MKSE på WordPress 2.9.2 och enligt Googles cache var det 2.9.1 som rullade på den tidigare. Nu undrar vi alla: Vad var det som hände egentligen?

Liknande

Arkiverad i: hack Taggar: , ,
  • http://openid.martin.mkse.com/ Martin Edenström

    W00t? W00t? :)

  • JimmyWirsborg

    Trist när sånt här händer.

    Men det väcker en djupare fråga: Vad blir det juridiska utav sånt här egentligen? Terrorism? Finns det resurser för vårt rättsväsende att utreda sånt här?

  • nikkelindqvist

    Kom igen nu Martin. Har du någon ledtråd? Annars börjar jag misstänka att du var ute och länkbetade ;-)

  • http://jonassandstrom.com/ Jonas Sandström

    Gamla versioner av wordpress på samma server kanske? DNS-hijacking? Finns oändligt med möjligheter.

    Skulle tippa på annan ouppdaterad mjukvara/wordpress-installationer på samma server. Ser ut som en mass-defacement i mitt tycke.

    Sedan är garanterat även senaste versionen av wordpress sårbar ; )

    Skulle vara kul med en uppföljning dock, för många gissningar!

    /Jonas

  • http://www.bjornsennbrink.se Björn Sennbrink

    Fulhack eller fel på WP?

  • http://openid.martin.mkse.com/ Martin Edenström

    Alltså, det var ganska odramatiskt. Helt klart scriptad attack och intrånget härlett till en gammal version av en av alla moduler jag ständigt labbar med. Har heller inte haft speciellt hög WP ”säkerhetsnivå”. Söker ni runt efter kommer ni hitta flera WP av olika versioner som fått samma turkiska påhälsning.
    Kör stenhårt med .htaccess på wp-admin och dubbelkolla WP:s modul-forum efter läskiga kommentarer.
    Blev hackad för något år sedan också, då var det en grymt sofistikerad 2.5.1-attack: http://ocaoimh.ie/did-your-wordpress-site-get-h… Kan det ha att göra med ett XXXX.com domännamn som gör mig ”attraktiv”?
    Ang. kommentarer: Har en installation på hotell, så inte flera på samma server. Länkbete vet jag inte ens var det kommer in detta sammanhang, så pass efter är jag där!

  • nikkelindqvist

    Tack för att du delar med dig Martin! 2.5.1 var det ju många som råkade illa ut med.
    Uppgraderade du till 2.9.2 innan eller efter?

    Det vore ju super om du ville berätta vilka plugins du misstänker så att även andra kan säkra upp sina sajter.

    Angående hotellet så kan det ju ligga fler gamla WP-installationer på samma hotell. Det ligger ju en och annan sajt där:
    http://uptime.netcraft.com/up/hosted?netname=DI…

    Och det där med länkbete, det är mest ett SEO-skämt. Vi SEO-månglare misstänker alltid allt och alla för att göra lika omständiga krumelurer som vi håller på med och allt för att få en eller gärna hundra länkar :-)

  • http://openid.martin.mkse.com/ Martin Edenström

    Mycket verkar vara scriptade nya användare och brute force idag. Det här kan fungera som en lösning på det: http://www.techerator.com/2009/12/wordpress-plu…

  • http://www.andreasnorman.se Andreas Norman

    oavsett om man har gammal eller ny version av WordPress så finns ju risk med att bli hackad. Hjälpte nyligen en branchkollega med hans blogg och det resulterade i en liten checklista som jag sen publicerade.

    http://www.andreasnorman.se/2010/01/25/11-punkt…